Depois que o worm brasileiro conhecido como a “Baratinha” se espalhou em setembro, os programadores de vírus nacionais lançaram outros worms do mesmo tipo na rede. O mais novo deles envia mensagens para todos os contatos no MSN com o link para o arquivo malicioso fotoimagem.exe.

A mensagem enviada pelo worm é a seguinte:

Olha minha foto >>>>http://%5Bremovido%5D/fotoimagem.exe

Ao clicar no link o usuário é infectado e começará a enviar a mesma mensagem para todos os contatos em sua lista do MSN, exatamente como era o caso com a Baratinha. Nos testes da Linha Defensiva, a execução do arquivo resultou em um erro fatal, mas alguns componentes ainda foram instalados mesmo assim.

O arquivo fotoimagem.exe possui pouco mais de 30KB de tamanho, o que torna o download do programa rápido até mesmo em uma conexão discada. Ao ser executado, ele fará o download dos outros cavalos-de-tróia, inclusive um possível componente para roubar senhas de banco (de acordo com as companhias antivírus).

Esses componentes serão salvos em uma pasta chamada “service” dentro da pasta de sistema (system32) e uma entrada no registro chamada “services” será criada para executar o worm automaticamente toda vez que o sistema for iniciado.

Ferramenta de Remoção

A Linha Defensiva está distribuindo uma ferramenta de remoção para a praga. A ferramenta de remoção possui pouco mais de 2KB e é um arquivo de scripting BAT. Ela foi testada em Windows 2000/XP, mas também deve funcionar em Windows 98/ME. O segundo link é a versão ZIP para quem tiver problemas para fazer o download do .bat (alguns sistemas possuem extensões como EXE e BAT bloqueadas):

http://linhadefensiva.uol.com.br/files/bat/msn-olhafoto.bat
http://linhadefensiva.uol.com.br/files/zip/msn-olhafoto.zip

A ferramenta deve ser executada em Modo de Segurança. Para entrar no Modo de Segurança é necessário pressionar F8 durante a inicialização do Windows. Caso precise de instruções mais detalhadas, veja o documento da Symantec sobre o assunto.

Você deve fazer o download da ferramenta em Modo Normal e salvá-la no C: ou algum lugar de fácil acesso. Não é recomendo salvar nos Meus Documentos e na área de trabalho, já que o usuário do Modo de Segurança pode ser diferente do usuário normal e você não poderá acessar a ferramenta se ela estiver em um desses lugares.

FAQ

Diversas perguntas foram lançadas nos comentários. Como os comentários não devem ser usados para retirar dúvidas, a Linha Defensiva não aprovou esses comentários. Ao invés disso, colocaremos aqui a resposta de algumas das perguntas enviadas.

Como sei que estou infectado? Como sei se a ferramenta funcionou?

Configure o Windows para ver todos os arquivos. Depois procure pela existência das seguintes pastas:

C:WINDOWSsystem32service ou
C:WINDOWSsystemservice

Se existir uma dessas pastas e ainda tiverem arquivos dentro dela, você está infectado. Note que o arquivo:

C:WINDOWSsystem32services.exe

É legítimo e não deve ser removido. Embora o arquivo services.exe dentro da pasta system32 seja legítimo, a pasta “service” é maliciosa e o services.exe dentro dessa pasta também é malicioso.

Nota É importante lembrar que fazer o download de um vírus não infecta seu sistema. Para ser infectado, você precisa executar o vírus.

Por que preciso do Modo de Segurança? O que fazer lá?

O Modo de Segurança certifica que o malware não está rodando para que a ferramenta possa apagar a pasta “service” sem interferência do worm. Se a ferramenta não funcionou para você, pode ser porque você a rodou em Modo Normal. Depois de iniciar o computador no Modo de Segurança, basta executar a ferramenta e reiniciar o computador. Não é necessário nenhum passo adicional (a não ser que a ferramenta não consiga apagar os arquivos, veja abaixo).

Se você entrou no computador no Modo de Segurança por meio do msconfig (como instrui o tutorial da Symantec), você deve rodar o msconfig no Modo de Segurança e desativar a opção para iniciar no Modo de Segurança. Depois basta reiniciar o computador que ele será reiniciado em Modo Normal.

A ferramenta de remoção diz que ocorreu um erro…

Nesse caso, execute o computador no Modo de Segurança. Rode a ferramenta. A seguir, apague a pasta mencionada acima. O computador será desinfectado por completo.

Estamos investigando o motivo que faz com que o script não consiga apagar a pasta em alguns casos para consertar o problema assim que conseguirmos mais detalhes.

Tenho outros vírus/ainda não consegui me livrar da praga

A Linha Defensiva oferece um serviço gratuito para a remoção de vírus. Para isso, você deve criar um cadastro em nosso fórum e colocar um log do HijackThis em um tópico no fórum Remoção de Malware. Você pode obter instruções para a postagem no tópico Antes de Postar.

Os antivírus identificam essa praga?

Sim, a maioria dos antivírus já identificam essa praga como Banload, Banker ou Trojan-Downloader.

A Linha Defensiva reforça o pedido de que não sejam enviadas dúvidas através dos comentários. Isso inclui qualquer problema com a ferramenta, dúvidas sobre o Modo de Segurança ou qualquer tópico relacionado. O Fórum deve ser usado para isso.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

55 Comments

  1. aeh, eu que estava com startguard instalado não tive problema nenhum, quando reiniciei a máquina o startguard acusou o arquivo e ai eu bloquiei…
    http://www.startguard.net... esse é bom…

    Curtir

  2. Vinicius Rozin 13/12/2005 às 09:50

    Ontem uma amiga me mandou o virus, como é uma pessoa q conheço, na hora abri o link, depois q eu fui ver q o arquivo era .exe, mas bom baixei o programa q vcs recomendam, e o executei no modo de segurança, e ele deu a mensagem q o virus tinha sido removido, o problema é q eu não achei a pasta onde o virus é instalado, será q ele removeu mesmo o virus?

    Curtir

  3. Olá amigos

    Ótima materia sobre essa praga….

    Porém a melhor maneira de se manter livre desse tipo de praga é usar a prudência:

    Jamais abrir qualquer arquivo na internet sem saber exatamente do que se trata.

    Arquivos suspeitos: .exe .bat. pif .com .vbs .src dentre outros

    Abraços
    Antonio

    Curtir

  4. Samuel Campos Fraiji Lage 13/12/2005 às 12:33

    Graças à UOl e a Linha Defensiva pude limpar meu pc desta praga… Isso nos deixa mais espertos. Da proxima vez, não farei o msm erro. Obrigado a todos vcs…

    Curtir

  5. Mirtes Ribeiro Junior 13/12/2005 às 14:54

    Gostaria de parabenizar a UOL pela iniciativa e pela agilidade desta informação,… fiz questão de difundir a todos os meus contatos de msn o link do site para as medidas defensivas… Parabens.

    Curtir

Comentários encerrados.